1. Premessa: la collocazione sistematica dell’adempimento nella cornice del D.Lgs. 138/2024
La Determinazione del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale n. 155238 del 20 aprile 2026, corredata dai due allegati settorialmente differenziati e dalla guida alla lettura, costituisce l’attuazione dell’art. 30 del D.Lgs. 4 settembre 2024, n. 138, di recepimento della Direttiva (UE) 2022/2555. Il provvedimento si inserisce in una sequenza ormai articolata di determinazioni — la n. 164179/2024 sulla registrazione, la n. 379907/2025 sulle misure di sicurezza di base, la n. 127437/2026 sulla piattaforma — rendendo operativo l’obbligo di elencazione e categorizzazione che i soggetti essenziali e importanti devono adempiere dal 1° maggio al 30 giugno di ciascun anno. L’esercizio del 2026 ha valore fondativo, perché alla scadenza l’elenco si consolida per l’annualità di riferimento.
2. Il paradigma service-centric: ricostruzione dogmatica del baricentro della tutela
Il punto teorico decisivo è lo spostamento del baricentro analitico dall’asset all’attività o servizio NIS. La prassi italiana di information security, anche nelle implementazioni ISO/IEC 27001:2022, ha storicamente costruito i propri sistemi a partire dall’asset register, derivandone misure attraverso scale qualitative su riservatezza, integrità e disponibilità. Il modello ACN sceglie invece esplicitamente di partire dal livello business: identificare attività e servizi, attribuire loro una categoria di rilevanza, e solo a valle ricondurvi i sistemi informativi e di rete che li supportano. Il principio di proporzionalità affermato dall’art. 21 della Direttiva NIS2 e recepito dall’art. 24 del decreto trova qui il proprio strumento di calibrazione: senza categorizzazione non vi è proporzionalità misurabile, ma solo proporzionalità dichiarata.
3. L’architettura del modello: dieci macroaree, quattro categorie di rilevanza, due allegati settoriali
L’impianto si articola lungo tre assi. Le dieci macroaree — monitoraggio e controllo, produzione di beni e servizi, ricerca e sviluppo, gestione finanziaria, clienti, risorse umane, logistica, comunicazione e marketing, gestione amministrativa, altri servizi — descrivono funzioni trasversali ai settori. Le quattro categorie di rilevanza — impatto alto, medio, basso, minimo — misurano l’impatto della compromissione sulla capacità di erogare servizi NIS. La bipartizione fra Allegato 1 (soggetti dei settori ad alta criticità ex Allegato I del decreto e altri settori critici ex Allegato II) e Allegato 2 (settore bancario, finanziario, infrastrutture digitali, ICT B2B) riflette la diversa intensità con cui la compromissione si propaga lungo catene di valore fisiche o informative.
4. La BIA semplificata come strumento di attribuzione: dimensioni RID e criteri qualitativi
L’attribuzione della categoria si fonda su una Business Impact Analysis semplificata che considera le tre dimensioni della triade RID/CIA, in coerenza con l’art. 24, comma 2, lett. c), del D.Lgs. 138/2024 e con la ISO/IEC 27001:2022. L’aggettivo “semplificata” non è sinonimo di superficiale: indica che la metodologia, rispetto alla BIA formalizzata della ISO/IEC 22301:2019, riduce il perimetro al solo ambito NIS, le dimensioni alle tre canoniche e la formalizzazione a scale qualitative, senza esigere la determinazione di MTPD, RTO o RPO. La guida non impone una metodologia esclusiva, ma la BIA semplificata costituisce il benchmark di adeguatezza rispetto al quale qualsiasi alternativa sarà valutata in sede di vigilanza, alla luce del principio di accountability che innerva gli artt. 23, 32 e 33 del decreto.
5. Top-down, bottom-up e approccio misto: analisi metodologica comparata
L’approccio top-down muove da funzioni e processi, aderisce pienamente al paradigma service-centric ed è ottimale per organizzazioni dotate di catalogo dei servizi ITIL 4 o ISO/IEC 20000-1:2018, ma rischia di trascurare componenti tecnologiche trasversali. L’approccio bottom-up parte dall’asset register e garantisce completezza infrastrutturale, ma può produrre rappresentazioni tecnocentriche disallineate dalla logica del modello. L’approccio misto, realizzato attraverso una gap analysis bilaterale fra le due rappresentazioni, costituisce a parere di chi scrive lo standard di adeguatezza atteso in sede ispettiva: il doppio confronto fa emergere asset non inventariati e servizi non mappati, prevenendo incongruenze documentali che, in sede di audit, diverrebbero altrettanti punti di vulnerabilità interpretativa.
6. Il livello di granularità: proporzionalità tassonomica e principio di parsimonia
La guida formula il principio in termini di proporzionalità: il dettaglio deve essere sufficiente a distinguere categorie omogenee, senza eccedere in frammentazione inutile. Sul piano metodologico, ciò significa che il livello di granularità è funzione della varianza di impatto attesa: sub-attività con profilo RID omogeneo vanno aggregate, sub-attività con profilo differenziato vanno scomposte. La regola di esclusività categoriale — ogni attività una sola macroarea, con scomposizione obbligatoria in caso contrario — non è meramente formale: senza esclusività verrebbe meno la possibilità di derivare misure proporzionate determinabili. La riconciliazione con le tassonomie già adottate nei sistemi di gestione integrati (ISO 27001, 27701, 22301, 9001) richiede un esercizio interpretativo non meccanico, poiché le ripartizioni funzionali non sono perfettamente sovrapponibili.
7. Il discostamento dalla categoria preassegnata: natura giuridica del default motivato
La categoria preassegnata ha natura di default motivato: una presunzione iuris tantum di adeguatezza derogabile in presenza di motivazione coerente e documentata, sia in senso elevativo sia in senso riduttivo. La configurazione presenta analogie strutturali con il regime di accountability dell’art. 24 e considerando 76 del GDPR. Sul piano probatorio, l’orientamento che si ritiene prevalga — pur in attesa di consolidamento attraverso la prassi ispettiva — è quello secondo cui il discostamento al ribasso esige un onere motivazionale più intenso di quello al rialzo, in coerenza con il principio di precauzione e con la funzione di soglia minima di sicurezza che la preassegnazione assolve. L’Allegato B alle Linee Guida esplicita i cinque criteri delle preassegnazioni: coordinamento, funzioni di sicurezza, interdipendenza, natura e volume dei dati, continuità operativa.
8. La logica delle preassegnazioni: gerarchia funzionale delle macroaree
La griglia rivela una logica gerarchica precisa. “Monitoraggio e controllo” è preassegnata a impatto alto, in quanto funzione di governo la cui compromissione produce danno sistemico. “Produzione” e “Ricerca, sviluppo, progettazione” sono a impatto medio, con danno settoriale ma locale. “Gestione finanziaria”, “clienti” e “risorse umane” sono a impatto basso, con effetti mediati sulla capacità erogativa. “Comunicazione”, “amministrazione” e “altri servizi” stanno a impatto minimo, mentre “Logistica” oscilla fra minimo e basso secondo la tipologia di soggetto. La filosofia sottesa attribuisce peso sistemico maggiore alle funzioni di governance rispetto a quelle produttive e di supporto, dialogando con la ISO/IEC 27014:2020 sulla governance della sicurezza dell’informazione.
9. Impatti sulla documentazione: revisione del sistema documentale di compliance
Tre documenti richiedono priorità di revisione. L’inventario non potrà più essere asset-autoreferenziale, ma dovrà ereditare la struttura del modello, indicando per ogni asset l’attività supportata, la macroarea e la categoria. Il piano di gestione del rischio dovrà recepire la rilevanza come dimensione di priorità nel sequenziamento delle misure, in coerenza con l’art. 24 del decreto. La valutazione del rischio dovrà abbandonare l’impostazione puramente asset-based ed ereditare la rilevanza dell’attività/servizio supportato, in coerenza con quanto già metodologicamente previsto da ISO/IEC 27005:2022 e NIST SP 800-30 Rev. 1. A questi si aggiungono politica di sicurezza, procedura di incident management e procedura di gestione della catena di approvvigionamento, quest’ultima da coordinare con la disciplina dei fornitori rilevanti.
10. Coordinamento con i framework internazionali: ISO/IEC 27001, NIST CSF 2.0, ISO 22301
Rispetto a ISO/IEC 27001:2022, la categorizzazione si colloca a monte del SGSI, alimentando le clausole 4.1 e 4.3 e i controlli A.5.9, A.5.12, A.5.13 dell’Annex A. Rispetto al NIST Cybersecurity Framework 2.0, le categorie GV.OC (Organizational Context) e ID.AM (Asset Management) costituiscono il punto di contatto naturale, suggerendo per le organizzazioni multinazionali una mappatura di corrispondenza. Rispetto a ISO/IEC 22301:2019, la BIA esistente costituisce base documentale utilizzabile, eventualmente integrata sulle dimensioni di riservatezza e integrità. Quanto a ISO/IEC 27701:2019, dove il perimetro NIS si sovrappone ai trattamenti di dati personali, la categorizzazione dialoga necessariamente con la valutazione ex art. 32 e con la DPIA ex art. 35 del Regolamento (UE) 2016/679, esigendo gestione coordinata per evitare incongruenze valutative.
11. Profili sanzionatori e di vigilanza
Il regime sanzionatorio è quello generale degli artt. 38 e 39 del D.Lgs. 138/2024: per i soggetti essenziali fino a 10 milioni di euro o al 2% del fatturato mondiale, per i soggetti importanti fino a 7 milioni o all’1,4%, in coerenza con l’art. 34 della Direttiva NIS2. L’inadempimento può configurarsi come omessa trasmissione, trasmissione incompleta, o trasmissione con discostamenti immotivati: quest’ultima ipotesi, di natura sostanziale, è potenzialmente più grave perché incide sull’integrità del sistema di vigilanza. L’ACN dispone ai sensi dell’art. 36 di poteri ispettivi che includono audit on-site e off-site. Va inoltre richiamato l’art. 38 sulla responsabilità degli organi di gestione dei soggetti essenziali, mutuata dall’art. 20 della Direttiva, che impone un coinvolgimento diretto del top management nelle scelte di categorizzazione.
12. Considerazioni conclusive e prospettive de iure condendo
La Determinazione 155238/2026 non introduce solo un adempimento procedurale: traccia una linea di evoluzione metodologica che sostituisce il paradigma asset-centrico con quello service-centric, imponendo una revisione del sistema documentale che, per essere effettiva, richiede letture integrate fra funzioni di sicurezza, di processo e di business. Due profili meritano attenzione nei prossimi mesi. Il primo è il coordinamento con le misure di sicurezza a lungo termine attese entro la fine del 2026, calibrate sulle categorie attribuite: la qualità della categorizzazione condizionerà direttamente l’intensità degli obblighi futuri. Il secondo è il raccordo con la disciplina dei fornitori rilevanti e con la catena di approvvigionamento ex art. 24, comma 2, lett. d): la coerenza fra categorizzazione interna ed elenco dei fornitori rilevanti diverrà uno dei principali indicatori di maturità in sede ispettiva. La differenza fra compliance formale e sostanziale non si misurerà nei tempi della prima implementazione, ma in quelli della prima verifica: ed è su questo orizzonte di medio periodo che è opportuno costruire una rappresentazione onesta dell’organizzazione, evitando la tentazione di fotografarla come la si vorrebbe.
